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23 septembre 2000 (23.09.00) 
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a la regie 32.2b). 



Bureau international de I'OMPI 
34, chemin des Colombettes 
121 1 Geneve 20, Suisse 



no de t6lecopieur: (41-22) 740.14.35 



Fonctionnaire autorise 

Henrik Nyberg 
no de telephone: (41-22) 338.83.38 



Formulaire PCT/IB/331 Quillet 1992) 



FR0000283 



TRAfTE DE COOPERATION EN MATIERE DE BR 

PCT 



Ejprs 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 

dumandatatre 

GEM0701 


POUR SUITE voftr la notification de transmission du rapport de recherche Internationale 
(formulate PCT/lSA/220) et, le cas echeart, le point 5 d-^apres 

ADONNER 


Demands Internationale n° 
PCT/FR 00/00283 


Date du depot rntemationaltfoaw^TK^anrree; 

07/02/2000 


(Date de prforfte (la plus ancJerme) 
QouT/mois/ann6e) 

08/03/1999 


Deposant 

GENPLUS et al . 



Le present rapport de recherche brternationale, etabll par r administration chargee de la recherche Internationale, est trartarrds au 
deposant conformement k rarticle 1 & Une cople en est transmlse au Bureau IntemationaL 

Ce rapport de recherche tntemationale cornprend g feuIDes. 

|X| It est aussl accornpagne tf une cople de chaque document relattf k Petat de la technique qui y est cite. 



du rapport 

a. En ce qui conceme la tangue, la recherche Internationale a et6 effectuee sur la base de la demande Internationale dans la 
langue dans laqueDe efle a ete deposee, sauf Indication contraJre dormee sous le merrte point 

| | la recherche Internationale a ete effectuee sur la base crime traduction de la demande Internationale remise k radmlrttatration. 

b. En ce qui conceme fes sequences ds nucleotides ou (facfdes amines dtvulguees dans la demande Internationale (le cas echeant), 
la recherche Internationale a ete effectuee sur la base du Ostage des sequences : 
| | contenu dans la demande (nterrtationale, sous forme ecrfte. 
| | deposee avec la demande Internationale, sous forme dechtffrable par ordtnateur. 
| | remls ulterleurBment k radmlnlstration, sous forme ecrfte. 
| | remls ufterleurement k radmlnlstration, sous forme de^fffrable par ordlnateur. 

| | La declaration, selon laquetle le Dstage des sequences presente par ecrft et fouml ufterleurement ne vas pas au-dei& de la 
divulgation falte dans la demande telle que deposee, a ete tbumle. 

| | La declaration, selon laquetle les Informations enregtstrees sous forme decrttffrable par orcflnateur sont Wentiques k cedes 
du Ostage des sequences presente par ecrft, a ete f ourrde. 



| | U a et* estim* que certaines revemficaticm ne pouvaient pas fairs I'objet d'une 
| | fl y a absence (TunM de I'invsnoon (voir le cadre II). 



2. 

a 



4w En ce qui conceme le titre, 



(voir le cadre I). 



|X| le texte est approuve tel quM] a et6 remls par le deposant 

| | Le texte a ete etabfl par radmlnlstration et a la teneur survante: 



En ce qui conceme Pabrege, 

|Y] texte est approuve tel quMI a ete remls par le deposant 

□ le texte (reproduft dans le cadre III) a ete etabll par radmlntetration conformement k la regie 3&2b). Le deposant peut 
presenter des observations k radmlnlstration dans un delal dun mote k compter de la date cTexpedUon du present rapport 
de recherche Internationale. 

La figure des dessins k pubfler avec Pabreg6 est la Figure n° 9 

|X| suggeree par le deposant Q Aucune des figures 



| | paroe que le deposant rfa pas suggere de figure. 
| | paroe que cette figure caractertee mleux rinvention. 



n'est k pubfler. 



Formidalre PCT/lSA/210 (premiere feuffle) Qufflet 1998) 



RAPPORT DE RECHERCHE INTERNATIONALE 



» M f a I r ■»* * " - 

DCfnanciv uiiniiaDonaie no 

PMfcft 00/00283 



A. a AS8FMFWT DE L'OBJET DE LA 

CIB y H04L9/06 



Sdcn lactesafflcaflon hTtemattonaJe dee brevets (CIB) ou a la fate seton to dasstflcaflon nattonate et la CtB 




a DOIIAINE8 SUR LE8QUEL8 LA RECHERCHE A PORTE 



Documentation mtnknaJe consuftee (systems de dasstflcaflon euM dee syrnbolee dedaseemenQ 

CIB 7 H04L 



DocunentaOon consuftee autre que la docunentaflon rnHrnaJe dans to meeure oq cee documents reJ event dee domatnee eur leequete a port6 to recherche 



Base de dortneee eJectrorttque consuttee au coure de la recherche krtemaflonsJe (nom de la base de donrteee, et si reelsable, termee de recherche ufilses) 



C. DOCUMENTS COMSBDERE8 COMME PERT1MEMTB 



Categor!e° Identification dee documents cites, avec, le cas echeant, Hndcaflon dee passages pertmente 



no. dee revendcatloRs vteeee 



NAKAO Y ET AL: "THE SECURITY OF AN RDES 
CRYPTOSYSTEM AGAINST LINEAR CRYPTANALYSIS" 
IEICE TRANSACTIONS ON FUNDAMENTALS OF 
ELECTRONICS, COMMUNICATIONS AND COMPUTER 
SCIENCES, JP, INSTITUTE OF ELECTRONICS 
INFORMATION AND COMM. ENG. TOKYO, 
vol. E79-A, no. 1, page 12-19 XP000558714 

ISSN: 0916-8508 
page 12, colonne de drolte, llgne 8 -page 
13, colonne de drolte, llgne 23 



□ 



Vdrtosufte du cadre C pour la fin de to fete dee documents 



□ 



Lee document s de temltee de brevets sent Indques en annexe 



° Categories GpeclaJee de documents cites: 

"A" document defatesant fetat general d e la technique, non 

constdefe com me partlculerernent pertinent 
°E a document antedeur, maJs puMe a la date de depot international 

ou apres oette date 
°L a document pouvant jeter un dcute sur une revenolc^ 

priority ou cite pour determiner la date de pubflcaflon cTune 

autre citation ou pour une reJson spectele (tele qOMquee) 
"O" ctocument se referent a une dvuigatton oraJe, a un usage, a 

une exposition ou tous autres moyens 
"P" document puble avant to date de depot biternaflonal, mate 

posterleurernent a la date de priorfte revendquee 



T° document utterteur puble aprj* la date de 
date de priority et nT appartenenant pee a IV 



International ou la 
deto 



technique pertfrient, mate ctte pour oomprendie le pilnclpe 
ou la meone consfltuant to base de ITnvertflon 

°X" document pajtkxJerement pert in ent rbwen Hon revendlquee ne peut 
etre conslderee cornrne nouvdle ou cornrne fcnplquant une acttvtte 
biventive par rapport au oteument consJdere Isdement 

"Y" document partxxierement pertinent; IViven Hon reverxflauee 
ne peut etre conslderee cornrne br^Oo^iant une artr^e h wnflve 
lorsque le document est assocte a un ou plusleure autree 
documents de meme nature, oette oomUnateon etant evtdertte 
pour une pereonne du metier 

°&° document qui fatt parte de to meme famile de brevete 



Date a toqueOela recherche irrtemaflonale a ete effecttvernent achevee 



7 avrll 2000 



Date <f expeoTOon du present rapport de recherche fcTtefnaflonaJe 



17/04/2000 



Kctnetadreeeepostaleotera u iii lifa ti afl oncr^^ 

Office Europeen dee Brevets, P.B. 6818 Patenflaan 2 

NL-2280HVRUs*gk 

Tel. (431-70) 840-2040, Tx. 31 651 epo nl, 

Fax: (481-70) 340-8016 



Foncltonnaire autortee 



Holper, G 
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(article 36 et regie 70 du PCT) 




Reference du dossier du d6posant ou du 
mandataire 

GEM 701 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER prefiminaire international (formulaire PCT/IPEA/416) 


Demande intemationate n° 
PCT/FR00/00283 


Date du depot international (jour/mois/ann$e) 
07/02/2000 


Date de priority (jour/mois/annee) 
08/03/1 999 


Classification intemationale des brevets (CIB) ou a la fois classification nationate et CIB 
H04L9/06 


^ — 


Deposant 

GEMPLUS et al. 







1. Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen prefiminaire 
international, est transmis au deposant conformement a rarticle 36. ^ 

2. Ce RAPPORT comprend 7 feuilles, y compris la presente feuille de couverture. 

S || est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
('administration chargee de I'examen preliminaire international (voir la regie 70.16 et ('instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent 1 9 feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 

I Base du rapport 

II □ Priorite 

III □ Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibility 

d'application industrielle 

IV □ Absence d'unite de I'inveniion 

V IS Declaration motivee selon rarticle 35(2) quant a la nouveaute, I'activite inventive et la possibility 

d'application industrielle; citations et explications a I'appui de cette declaration 

VI S Certains documents cites 

VII □ Irregularites dans la demande intemationale 

VIII Observations relatives a la demande intemationale 



Date de presentation de la demande d'examen preliminaire 
Internationale 

23/09/2000 



Date d'achevement du present rapport 
13.06.2001 



Norn et adresse postale de ('administration chargee de 
I'examen preliminaire international: 

Office europ^en des brevets 

D-80298 Munich 
Tel. +49 89 2399-0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 



Fonctionnaire autorise 
Grimaldo, M 

N° de t6!6phone +49 89 2399 7513 




Formulaire PCT/IPEA/409 (feuille de couverture) flanvier 1994) 



RAPPORT D EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande internationale n° PCT/FR00/00283 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande internationale (les feuiiles de remplacement qui ont 6te remises 
a I'office recepteur en rgponse a une invitation faite conformement a ('article 14 sont considerees dans ie present 
rapport comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'elies ne contiennent 
pas de modifications (regies 70. 16 et 70. 17)): 

Description, pages: 

1-6 version initiale 

7-22 regue(s) le 12/03/2001 avec la lettre du 07/03/2001 

Revendications, N°: 

1 -8 regue(s) le 12/03/2001 avec la lettre du 07/03/2001 

Dessins, feuiiles: 

1/8-8/8 version initiale 



2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de ('administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient k la disposition de ('administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la regie 55.2 ou 
55.3). 

3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement a I'administration, sous forme ecrite. 

□ remis ulterieurement k I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Presente par £crit, a ete fournie. 



Fonrnulaire PCT/IPEA/409 (cadres l-VIII, feuille 1) (juillet 1998) 



RAPPORT D EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande international n° PCT/FR00/00283 



4. Les modifications ont entrain^ I'annulation : 

□ de la description, pages : 

□ des revendications, n 05 : 

□ des dessins, feuilles : 

5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considers 

comme allant au-dela de ('expose de I'invention tel qu'il a ete depose, comme il est indiqu6 ci-apr^s (regie 
70.2(c)) : 

(Toute feuille de remp/acement comportant des modifications de cette nature doit etre indiqu&e au point 1 et 
annexee au present rapport) 

6. Observations complementaires, le cas echeant : 



V. Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : 

Non : 

Activite inventive Oui : 

Non : 

Possibility d'application industrielle Oui : 

Non : 



2. Citations et explications 
voir feuille separee 



VI. Certain documents cites 

1. Certains documents publies (regie 70.10) 
et /ou 

2. Divulgations non 6crites (r&gle 70.9) 
voir feuille separee 



VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clart£ des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 



Revendications 1-8 
Revendications 

Revendications 1-8 
Revendications 

Revendications 1-8 
Revendications 



Fomnulaire PCT/IPEA/409 (cadres l-VIII, feuille 2) (juillet 1998) 
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Documents mentionnes: 

II est fait reference au document suivant: 

D1 : NAKAO Y ET AL: "THE SECURITY OF AN RDES CRYPTOSYSTEM 
AGAINST LINEAR CRYPTANALYSIS", IEICE TRANSACTIONS ON 
FUNDAMENTALS OF ELECTRONICS, COMMUNICATIONS AND 
COMPUTER SCIENCES,JP,INSTITUTE OF ELECTRONICS 
INFORMATION AND COMM. ENG. TOKYO, vol. E79-A, no. 1, page 12-19 
XP000558714 ISSN: 0916-8508 



V. Declaration motivee selon la regie 66.2.a)ii) quant a la nouveaute, I'activite 
inventive et la possibility d'application industrielle; citations et explications a 
I'appui de cette declaration 



1 . Les revendications independantes 1 , 7 et 8 manquent de caracteristiques 
techniques essentielles (voir la section VIII, paragraphes 1a, 1b et 2). 

Cependant, si les revendications 1 , 7 et 8 sont interpretees a I'aide de la 
description qui specifie les caracteristiques techniques essentielles manquantes, 
alors il est possible de comprendre que ces revendications concernent un 
procede de contre-mesure pour proteger un algorithme DES a cle secrete d'un 
attaque DPA (Differential Power Analysis) (revendication 1), un composant 
electronique de securite mettant en oeuvre le procede (revendication 7) et une 
carte a puce comprenant un tel composant electronique de securite 
(revendication 8). 

Les algorithmes a cle secrete du type DES (Data Encryption standard) sont 
vulnerables aux attaques DPA consistant en une analyse differentielle de la 
consommation en courant, qui permettent a des tiers mal intentionnes de trouver 
la cle secrete. 

Ces attaques sont destinees a decouvrir la cle secrete en attaquant un nombre 
limite de bits particuliers de la cle: une sous-cle. A cette sous-cle correspondent 
certaines donnees en sortie de certaines operations de I'algorithme de 



Formulaire PCT/Feuille s6par6e/409 (feuille 1) (OEB-avril 1997) 



RAPPORT D'EXAMEN Demande intemationale n° PCT/FR00/00283 

PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



cryptographie (operations critiques: celles qui manipulent une donnee de sortie 
d'une operation SBOX) qui peuvent etre plus facilement predites: les bits de ces 
donnees sont appeles bits cibies. 

Avec une attaque DPA qui analyse quand le signal DP A n'est pas nul en 
correspondance des instructions critiques on est capable de reconstituer la cle 
secrete, faisant un hypothese sur la sous-cle. 

Avec une attaque DPA sur un algorithme DES, compose de plusieurs tours de 
calcul, qui utilise une cle de 64 bits, on est capable de reconstituer au moins 48 
bits des 56 bits utiles de la cle secrete. 

La demande presente une solution a ce probleme en utilisant un precede dans un 
composant electronique de securite qui entrame un signal DPA nul meme dans le 
cas ou I'hypothese de sous cle est juste car, si le signal est nul, on n'obtient 
aucune information sur le bits cibies et done sur la cle secrete. De cette fa<?on rien 
ne permet de distinguer le cas de I'hypothese de sous-cle juste des cas 
d'hypothese de sous-cles fausses. 
Le signal DPA nul, sur est obtenu par: ■ 

a) Papplication par chaque tour de calcul, qui compose le procede, d'une 
operation de OU EXCLUSIF entre la donnee d'entree et la donnee de sortie 
et une premiere valeur aleatoire (u). 

En plus pour eviter des attaques qui pourraient etre realisees avec succes a des 
endroits bien determines dans I'execution de I'algorithme, notamment en entree et 
en sortie de I'ensemble des tours de calcul qui composent I'algorithme, le procede 
applique: 

b) une operation de OU EXCLUSIF entre les donnees d'entree du premier tour 
et une deuxieme valeur aleatoire (v). 

Le document D1 , considere comme representant I'etat de la technique le plus 
pertinent, divulgue egalement une modification d'un algorithme a cle secrete du 
type DES pour obtenir une meilleure protection contre une attaque DPA. 
La modification comporte I'adjoint d'une operation d'echange (permutation) des 
donnees dans chaque tour de calcul de I'algorithme: le nouveau algorithme est 
appele: RDES. 

Cependant le document D1 ne divulgue pas les memes operations decrites aux 
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points (a) et (b). 

La solution n'est done ni connue ni derivable du document le plus proche (D1), et 
done, I'objet de la revendication 1 est considere comme nouveau (Article 33(2) 
PCT) et impliquant une activite inventive (Article 33(3) PCT). 

2. Les revendications 2-6 dependent de la revendication 1 et satisfont done 
egalement, en tant que telles, aux conditions requises par le PCT en ce qui 
concerne la nouveaute et I'activite inventive. 

VI. Certains documents publies (Regie 70.10) 

Date de priorite 

Date de publication Date de dep6t (valablement revendiquee) 

(jour/mois/ann6e) Qour/mois/ann6e) (jour/mois/anne'e) 

1 1/05/2000 29/1 0/1 999 29/1 0/1 998 

Le document WO 00 27068 (document de priorite: FR 98 13605), du meme 
Demandeur, divulgue exactement la meme solution de contre-mesure contre des 
attaques par analyse differentielle du point (a). 

Toutefois, le point (b) constitue la nouvelle caracteristique technique eu egard a ce 
document. 



VIII. Observations relatives a la demande internationale 

1a. II ressort clairement de la description (page 9, lignes 4-9 et figures 3 et 8) que la 
caracteristique suivante est essentielle a la definition de invention de la 
revendication 1 : 

la premiere valeur aleatoire appliquee en OU EXCLUSIF a la donnee 
d'entree et a la donnee de sortie des moyens de calcul de chaque tour de 
calcul 



Demande n° 
Brevet n° 

WO 00 27068 
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La revendication independante 1 ne contenant pas cette caracteristique, ne 
remplit pas la condition visee a I'Article 6 PCT en combinaison avec la regie 6.3 b) 
PCT, qui prevoient qu'une revendication independante doit contenir toutes les 
caracteristiques techniques essentielles a la definition de I'invention. 

1b. II ressort clairement de la description (page 9, lignes 4-9, page 18, lignes 25-27 et 
figures 3 et 8) que la caracteristique suivante est essentielle a la definition de 
I'invention de la revendication 7: 

la premiere valeur aleatoire appliquee en OU EXCLUSIF a la donnee 
d'entree et a la donnee de sortie des moyens de calcul de chaque tour de 
calcul 

• la deuxieme valeur aleatoire appliquee en OU EXCLUSIF AUX DONNEES 
D'ENTREE de I'algorithme 

La revendication independante 7 ne contenant pas cette caracteristique, ne 
remplit pas la condition visee a I'Article 6 PCT en combinaison avec la regie 6.3 b) 
PCT, qui prevoient qu'une revendication independante doit contenir toutes les 
caracteristiques techniques essentielles a la definition de I'invention. 

2. Le jeux de revendications manque de clarte a cause du manque de coherence 
entre la revendication de procede 1 et la revendication d'appareil 7 (composant 
electronique): les caracteristiques techniques qui definissent I'objet de la 
protection recherchee ne sont pas les memes dans les deux revendications 
(Article 6 PCT). 
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PATENT COOPERATION TREATY 

PCT 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 

(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference 
GEM0701 


SeeNotificationofTransmittaloflnternational Preliminary 
FOR FURTHER ACTION Examination Report (Form PCT/IPEA/4 1 6) 


International application No. 


International filing date {day/month/year) 


Priority date {day/month/year) 


PCT/FR00/00283 


07 February 2000 (07.02.00) 


08 March 1999 (08.03.99) 


International Patent Classification (IPC) or national classification and IPC 




H04L 9/06 






Applicant 


GEMPLUS 





This international preliminary examination report has been prepared by this International Preliminary Examining Authority 
and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of , 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have been 
amended and are the basis for this report and/or sheets containing rectifications made before this Authority (see Rule 
70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



19 



sheets. 



3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 
Certain defects in the international application 
Certain observations on the international application 



I 


I2SI 


II 


□ 


III 


□ 


IV 


□ 


V 




VI 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/FR00/00283 



I. Basis of the report 



1. With regard to the elements of the international application:* 
| | the international application as originally filed 

the description: 

pages __ 1-6 

pages 

pages ^ 



, as originally filed 
. filed with the demand 



7-22 



, filed with the letter of 12 March 2001 (12.03.2001) 



the claims: 

pages 

pages 

pages 

pages 



, as originally filed 

, as amended (together with any statement under Article 19 

, filed with the demand 



1-8 



, filed with the letter of 



the drawings: 

pages 

pages 

pages 



1/8-8/8 



12 March 2001 (12.03.2001) 



, as originally filed 
, filed with the demand 



filed with the letter of 



| | the sequence listing part of the description: 

pages 

pages 

pages 



, as originally filed 

, filed with the demand 



filed with the letter of 



2. With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

These elements were available or furnished to this Authority in the following language which is: 

1 1 the language of a translation furnished for the purposes of international search (under Rule 23. 1(b)). 
| | the language of publication of the international application (under Rule 48.3(b)). 

1 | the language of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 
or 55.3). 

3. With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 

contained in the international application in written form. 

filed together with the international application in computer readable form. 

furnished subsequently to this Authority in written form. 

furnished subsequently to this Authority in computer readable form. 

The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 
international application as filed has been furnished. 

The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 



□ 
□ 
□ 
□ 
□ 

□ 
□ 



The amendments have resulted in the cancellation of: 

I | the description, pages 

I 1 the claims, Nos. 

I I the drawings, sheets/fig 



□ This report has been established as if (some of) the amendments had not been made, since they have been considered to go 
beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)).** 

* Replacement sheets which have been furnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since they do not contain amendments (Rule 70.16 
and 70.17). 

** Any replacement sheet containing such amendments must be referred to under item 1 and annexed to this report. 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

1 . Statement 

Novelty (N) 

Inventive step (IS) 



Industrial applicability (IA) 

2. Citations and explanations 

Reference is made to the following document: 

Dl: NAKAO Y ET AL : "THE SECURITY OF AN RDES 

CRYPTOSYSTEM AGAINST LINEAR CRYPTANALYSI S" , 
IEICE TRANSACTIONS ON FUNDAMENTALS OF 
ELECTRONICS, COMMUNICATIONS AND COMPUTER 
SCIENCES, JP, INSTITUTE OF ELECTRONICS 
INFORMATION AND COMM. ENG. TOKYO, Vol. E7 9-A, 
no. 1, pages 12-19 XP000558714 ISSN: 0916-8508. 

1. Independent Claims 1, 7 and 8 lack essential 

technical features (see Box VIII, paragraphs la, lb 
and 2 ) . 

However, if Claims 1, 7 and 8 are interpreted in 
light of the description", which specifies the 
missing essential technical features, then it is 
clear that said claims relate to a countermeasure 
method for protecting a DES secret key algorithm 
from a DPA (Differential Power Analysis) attack 
■ (Claim 1) , an electronic security component used 
with said method (Claim 7) and a smart card 
including such an electronic security component 
(Claim 8) . 

Form PCT/IPEA/409 (Box V) (January 1994) 



Claims 1^8 VES 

Claims NO 

Claims 1-8 YES 

Claims NO 

Claims 1-8 YES 

Claims NO 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 
PCT/FR 00/00283 



The DES (Data Encryption Standard) secret key 
algorithms are vulnerable to DPA attacks comprising 
a differential analysis of the current consumption 
that enable hackers to discover the secret key. 
These attacks are designed to discover the secret 
key by attacking a limited number of particular bits 
of the key, i.e. a sub-key. This sub-key represents 
certain output data from certain operations of the 
cryptography algorithm (critical operations are 
those that process output data from an SBOX 
operation) that can be easily predicted; the bits of 
said data are called target bits. 

The secret key can be restored by hypothesizing on 
the sub-key, with a DPA attack that analyzes when 
the DPA is non-zero in correlation with the critical 
commands . 

At least 48 of the 56 useful bits of the secret key 
can be restored with a DPA attack that uses a 64-bit 
key on a DES algorithm comprised of a number of 
calculation cycles . 

The application provides a solution to this problem 
by using, in an electronic security component, a 
method that produces a zero DPA signal even when the 
hypothesis of the sub-key is correct, because if the 
signal is zero, information regarding the target 
bits, and thus the secret key, cannot be obtained. 
For this reason, there is nothing to distinguish 
between the case of the correct sub-key hypothesis 
and the incorrect sub-key hypothesis. 
The zero DPA signal is obtained by: 
(a) applying, for each calculation cycle of the 
method, an exclusive OR operation between the input 
data and the output data and a first random value 
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(U) . 

Moreover, to avoid attacks that could be 
successfully carried out at predetermined locations 
in the execution of the algorithm, particularly at 
the input and output of all the calculation cycles 
of the algorithm, the method applies: 

(b) an exclusive OR operation between the input data 
of the first cycle and a second random value (v) . 

Document Dl, which is considered the most relevant 
prior art, also discloses modifying a DES secret key 
algorithm in order to achieve better protection 
against a DPA attack. 

The modification comprises adding an operation for 
exchanging (permutating) the data in each algorithm 
calculation cycle. The new algorithm is called 
RDES . 

However, document Dl does not disclose the same 
operations as described in points (a) and (b) . 

The solution is therefore not found in or derivable 
from the closest prior art document (Dl) . 
Consequently, the subject matter of Claim 1 is 
considered to be novel (PCT Article 33(2)) and to 
involve an inventive step (PCT Article 33(3)). 

2. Claims 2-6 are dependent on Claim 1 and therefore 

also meet, as such, the PCT requirements of novelty 
and inventive step. 
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Supplemental Box 

(To b e used when the space in any of the preceding boxes is not sufficient) 
Continuation of: VI 



Document WO-A-00/27068 (priority document: FR-A-9 813 
605) , by the same applicant, discloses exactly the same 
attack countermeasure solution as point (a) involving 
differential analysis . 

However, point (b) is the novel technical feature in view 
of said document. 
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VIII. Certain observations on the international application 



The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

la. It is clear from the description (page 9, lines 

4-9 and Figures 3 and 8) that the following feature 
is essential to the definition of the invention of 
Claim 1: 



- the first random value applied as exclusive OR to 
the input data and output data of the calculation 
means of each calculation cycle. 



Since independent Claim 1 does not contain this 
feature, it does not meet the requirements of PCT 
Article 6 in combination with PCT Rule 6.3(b), 
according to which an independent claim must contain 
all the features necessary for the definition of the 
invention . 



lb. It is clear from the description (page 9, lines 4-9, 

page 18, lines 25-27 and Figures 3 and 8) that the 

following features are essential to the definition 
of the invention of Claim 7: 



- the first random value applied as exclusive OR to 
the input data and output data of the calculation 
means of each calculation cycle, 

- the second random value applied as exclusive OR to 
the input data of the algorithm. 



Since independent Claim 7 does not contain this 
feature, it does not meet the requirements of PCT 
Article 6 in combination with PCT Rule 6.3(b), 
according to which an independent claim must contain 
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VIII. Certain observations on the international application 

all the features necessary for the definition of the 
invention . 

2. The set of claims lacks clarity owing to the 

inconsistency between method Claim 1 and device 
Claim 7 (electronic component) . The technical 
features that define the subject matter for which 
protection is sought are not the same in the two 
claims (PCT Article 6) . 



Form PCT/IPEA/409 (Box VIII) (January 1994) 



FR 000000283 

7 



figure 2). II faut retourner a l'etape c- et faire une 
nouvelle hypothese sur la sous-cle. 

Si 1 'hypothese s'avdre juste, on peut passer a 
1' evaluation d'autres sous-cles, jusqu'a avoir 
reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES, on utilise une cle" de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 



utiles . 



Deux documents concernant 1' arriere plan 
technologigue sont cites ci-dessous. II s'agit des 
documents NAKAO Y ET AL : « THE SECURITY OF AN RDES 
CRYPTOSYSTEM AGAINST LINEAR CRYPTANALYSTS », IEICE 
TRANSACTIONS ON FUNDAMENTALS OF ELECTRONICS, 
COMMUNICATIONS AND COMPUTER SCIENCES, JP, INSTITUTE OF 
ELECTRONICS INFORMATION AND COMM . ENG . TOKYO , vol.E79-A, 
no.l, page 12-19 XP000558714 ISSN :0916-8508, not! Dl 
et WO 00 27068, note D2 . 

Le document Dl concerne un cryptosysteme utilisant 
le DES pour etre securise. 

Le Document D2 concerne un composant Slectronique 
mettant en cnuvre un algorithme a cle" secrete ; la mise 
en cfiuvre de cet algorithme comprend 1 ' utilisation de 
premiers moyens a partir d'une donnee d' entree (E) pour 
fournir une donnee de sortie. 

La presente invention a pour but de mettre en 
oeuvre dans un composant elect ronique, un precede de 
contre-mesure centre des attaques par analyse 
differentielle qui entraine un signal DPA(t) nul , mSme 
dans le cas ou 1 'hypothese de sous-cle est juste. 

De cette facon, rien ne permet de distinguer le cas 
de 1 'hypothese de sous-cle juste des cas d'hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
composant electronique est pare contre les attaques 
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On sait par la. demande francaise FR 2 785 477 
■ publiee le 5 Mai 2000, par la societe. GEMPLUS et dont 
le contenu en entier fait partie integrante de la 
presente demande, qu'il ne suffit pas de faire en sorte 
que le signal DPA(t) soit nul relativement a un bit 
cible donne. 

En effet, si on considere la valeur prise par 
plusieurs bits cibles d'une meme donnee manipulee par 
les instructions critiques, on va devoir trier les 
courbes non plus en deux paquets, mais en plusieurs 
paquets. On n'a plus une fonction de selection binaire. 
On peut montrer qu ■ en regroupant ensuite ces paquets 
d'une maniere ou d'une autre, on peut obtenir un signal 
DPA(t) non nul dans le cas d'une hypothdse de sous-cle" 
juste, alors qu'il aurait ete nul si l'on avait trie 
selon une fonction de selection binaire sur un seul bit 
cible. 

Prenons par exemple deux bits cibles d'une meme 
donnee. Ces deux bits cibles^ peuvent prendre les 22 
20 valeurs suivantes : "00", "01", "10" et "11" 

En appliquant la fonction de selection aux N=1000 
courbes de consommation en courant mesurees, on obtient 
quatre paquets de courbes. Si le tri est juste, un 
premier paquet de 25 0 courbes environ correspond a la 
valeur "00", un deuxieme paquet de 250 courbes environ 
correspond a la valeur "01", un troisieme paquet de 
250 courbes environ correspond a la valeur »10» et un 
quatrieme paquet de 250 courbes environ correspond a la 
valeur "11" . 

Si on regroupe les premier et quatrieme paquets 
dans un premier groupe et les deuxieme et troisieme 
paquets dans un deuxieme groupe, on obtient deux 
groupes qui ne sont pas equivalents. 

Dans le premier groupe, les deux bits ont autant de 
35 chances de valoir "00" que de valoir "11". La valeur 
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moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
Ml (t c j[) = [consommation {"00") + consommation ("ll")]/2 

Dans le deuxieme groupe, les deux bits ont autant 
5 de chances de valoir "01" que de valoir "10". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
M2 (t c i) = [consommation ("01") + consommation ("10")]/2 

Si on fait la difference entre ces deux moyennes, 
10 on obtient un signal DPA(t) non nul. En d'autres 
termes, les deux groupes dont on compare les 
consommations moyennes n'ont pas un contenu equivalent. 

Dans la demande francaise precitee, on a cherche a 
empecher l'obtention d-un quelconque signal 
significatif au sens de 1 • attaque DPA. Quel que soit le 
nombre de bits cibles pris, quelle que soit la 
combinaison de paquets effectuee pour faire la 
cornparaison des consommations moyennes, le signal 
DPA(t) sera toujours nul. Pour^cela il faut obtenir des 
paquets equivalents, quel que soit le nombre de bits 
cibles. consideres . 

La demande francaise precitee propose comme 
solution a ces differents problemes techniques, 
l'utilisation d'une valeur aleatoire dans une operation 
25 de OU EXCLUSIF avec au moins des donnees de sortie de 
moyens de calcul utilises dans 1 ' algorithme . 

Avec l'utilisation d'une telle valeur aleatoire, 
les donnees manipulees par les instructions critiques 
deviennent impredictibles tout en ayant un resultat 
juste en sortie de 1 ' algorithme . 

Dans 1' invention, on s'est cependant rendu compte 
que des attaques pourraient encore etre realisees avec 
succes a des endroits bien determines dans 1' execution 
de 1' algorithme, notamment en entree et en sortie de 
35 1 ' algorithme . 
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La presente invention a pour objet un procede de 
contre-mesure dans lequel ces attaques. sont egalement 
rendues impossibles. Selon 1' invention, on utilise une 
deuxieme valeur aleatoire, appliquee sur les parametres 
d' entree de l'algorithme de crypt ographie, dans une 
operation de ou EXCLUSIF. Cette deuxieme valeur 
aleatoire se propage dans tout l'algorithme, en sorte 
que les donnees qui n'etaient pas protegees par la 
premiere valeur aleatoire le sont par la deuxieme. 

Ainsi, selon 1' invention, selon 1 ' endroit ou l'on 
se trouve dans l'algorithme, les donnees sont protegees 
soit par la premiere valeur-aleatoire, soit par la 
deuxieme, soit par une combinaison de ces deux valeur- 
al^atoires . 

Telle que caractSrisee, 1 ' invention concerne done 
un procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secret e, dont la mise en oeuvre 
comprend plusieurs tours de -calculs successifs pour 
20 fournir a partir de premieres donnees d' entree 
appliquees au premier tour, des donnees finales en 
sortie du dernier, tour permettant 1 ' elaboration d'un 
message chiffre, chaque tour de calcul utilisant des 
moyens de calcul pour fournir une donnee de sortie a 
partir d'une donnee d' entree, lesdits moyens de calcul 
comprenant 1 ' application d'une premiere valeur 
aleatoire (u) pour obtenir en sortie une donnee 
impredictible, caracterise en ce que le procede 
comprend 1 ' utilisation des moyens d' application d'une 
deuxieme valeur aleatoire aux-dites premiere donnees 
d' entree, selon une operation ou EXCLUSIF. 

D'autres caracteristiques et avantages de 
1' invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 
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- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que 1 ' on peut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 
une attaque DPA; 

5 - les figures 3 et 4 sont des or gani grammes 

d^tailles des premiers et demiers tours de 
l'algorithme DES, selon l'etat de la technique; 

- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisee dans l'algorithme DES tel que presente" 

10 sur les figures 3 et 4; 

- la figure 6- montre un exemple de table de 
constantes £lementaire a une entree et une sortie 
utilisee dans 1' operation SBOX representee sur la 
figure 5 ; 

15 " les figures 7 et 8 representent respectivement un 

organigramme d' execution du DES et un organigramme 
detaille des premiers tours, correspondant a un exemple 
d ' application du procede de contre mesure selon 1 ' etat 
de la technique ; 

20 ~ la figure 9 represent e un organigramme 

d' execution du DES selon 1 * invention; et 

- la figure 10 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 
dans lequel le procede de contre -mesure selon 

25 1' invention est mis en oeuvre. 

Pour la bonne comprehension de 1 ' invention, on va 
d'abord decrire l'algorithme cryptographique a cl6 
secrete DES normal, sans procede de contre -mesure . Cet 
algorithme DES comporte 16 tours de calcul, notes Tl a 
T16, comme represente sur les figures 3 et 4. 

Le DES debute par une permutation initiale IP sur 
le message d' entree M (figure 3> . Le message d' entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que l'on coupe en deux pour former 
les parametres d' entree L0 et R0 du premier tour (Tl) . 
L0 est un mot d de 32 bits contenant les 32 bits de 
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poids forts du mot e. R0 ■ est un mot h de 32 bits 
contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le parametre R0, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 4 8 
bits . 

Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR,. pour fournir 
un mot b de 48 bits. Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 
notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
Cette operation particuliere -sera expliquee plus en 
detail en relation avec les figures 5 et 6 . 

Le mot a subit une permutation P PERM, dormant en 
sortie le mot c de 32 bits. 

Ce mot c est combine au parametre d' entree L0 du 
premier tour Tl, dans une operation logique de type OU 
25 EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d' entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
30 Le mot p du premier tour fournit 1 'entree r du tour 
suivant . 

Les autres tours T2 a T16 se deroulent de facon 
similaire, excepte en ce qui concerne 1' operation de 
decalage SHIFT qui se fait sur une ou deux positions 
35 selon les tours consideres . 
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Chaque tour Ti recoit ainsi en entree les 
parametres Li-l,- Ri-i e t r et fournit en sortie les 
parametres Li et Ri et r pour le tour suivant Ti+l. 

En fin d'algorithme DES (figure 4), le message 
chiffre est calcule" a partir des parametres L16 et R16 
f ournis par le dernier tour T16 . 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 

- application de la permutation IP -1 inverse de 
celle de debut de DES, pour obtenir le mot f ' de 64 
bits formant le message chiffre C. 

L ' operation SBOX est detaillee sur les figures 5 et 
15 6. Elle comprend une table de constantes TC 0 pour 
foumir une donnee de sortie a en fonction d'une donnee 
d' entree b. 

En pratique, cette table de constantes TC 0 se 
presente sous la forme de htfit tables de constantes 
20 elementaires TC 0 1 a TC 0 8, chacune recevant en entree 
seulement 6 bits du mot b, pour fournir en sortie- 
seulement 4 bits du mot a. 

Ainsi, la table de constante elementaire TCqI 
representee sur la figure 6 recoit comme donnee 
25 d' entree, les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 

En pratique ces huit tables de constantes 
elementaires TC 0 1 a TC 0 8 sont memorisees en memoire 
programme du composant e'lectronique . 

Dans 1' operation SBOX du premier tour Tl, un bit 
particulier de la donnee a de sortie de la table de 
constante TC 0 depend de seulement 6 bits de la donnee b 
appliquee en entree, c • est a dire de seulement 6 bits 
de la cle secrete K et du message d' entree (M) 

Dans 1 'operation SBOX du dernier tour T16, un bit 
particulier de la donnee a de sortie de la table de 
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constante TC 0 peut €tre recalcule a partir de seulement 
6 bits de la cle secrdte K et du message chif fre (C) . 

Or si on reprend le principe de l'attague DPA, si 
on choisit un ou des bits de la donnee de sortie a 
cotrane bits cibles, il suffit de faire une hypothese sur 
6 bits de la cle K, pour predire la valeur du ou des 
bits cibles pour un message d' entree (M) ou de sortie 
(C) donne. En d'autres termes, pour le DES, il suffit 
de faire une hypothese sur une sous-cle de 6 bits. 

Dans une attaque DPA sur un tel algorithme pour un 
ensemble de bits cibles donne" issu d'une table de 
constantes elementaire donnee, on a done a discriminer 
une hypothese de sous-cle juste parmi 64 possibles. 

Ainsi, a partir des bits de sortie des huit tables 
15 de constantes elementaires TC 0 1 a TCq8 , on peut 
decouvrir jusqu'a 8x6=48 bits de la cle secrete, en 
faisant des attaques DPA sur des bits cibles 
correspondants . 

Dans le DES, on trouve^ done des instructions 
20 critiques au sens des attaques DPA au d£but de 
1' algorithme et a la fin. Ces instructions sont 
detaill^es dans la demande francaise FR 98 13 605 a 
laquelle on pourra se reporter utilement. 

Et il ressort que toutes les donnees manipulees par 
25 des instructions critiques sont une donnee de sortie ou 
des donnees derivees d'une donnee de sortie d'une 
operation SBOX de debut et de fin de DES. 

Le proc£de de contre-mesure decrit dans la demande 
francaise precitee appliquS a cet algorithme DES 
30 consiste a rendre impredictible chacune des donnSes 
manipulees par les instructions critiques. Ainsi, quel 
que soit le ou les bits cibles utilises, le signal 
DPA(t) sera toujours nul . Ce procede de contre-mesure 
est applique aux instructions critiques de d£but de DES 
35 et aux instructions critiques de fin de DES. 
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En prenant les operations SBOX comme premiers 
moyens de calcul pour fournir une donnee de sortie S=a 
a partir d'une donnee d' entree E=b, l e procede de 
contre-mesure de la demande francaise precitee applique 
5 a l'algorithme DES consiste a utiliser d'autres moyens 
de calcul a la place des premiers, pour rendre 
imprSdictible la donnee de sortie, en sorte que cette 
donnee de sortie et/ou des donnees derivees manipulees 
par les instructions critiques soient toutes 
10 impr€dictibles . 

Ces autres moyens peuvent comprendre differents 
moyens. lis sont calcules a partir des premiers moyens 
en appliquant un OU exclusif avec une valeur aleatoire 
u (ou une valeur aleatoire derivee) sur 1 ' une et/ou sur 
1 'autre des donnees d' entree et de sortie des premiers 
moyens . 

L' utilisation de cette valeur aleatoire u est telle 
que le resultat en sortie de l'algorithme, c'est a 
dire, le message chiffre C reste juste. 
20 Les figures 7 et 8 represented un exemple 

d' application de ce procede de contre-mesure, qui 
correspond a la figure 10 de la demande francaise 
precitee. 

Dans une execution classique de l'algorithme DES, 
25 on a vu que chaque tour comprend 1 • utilisation de 
premiers moyens TC 0 dans une operation SBOX. 

Dans cet exemple, et comme represents sur la figure 
7, on calcule d'autres moyens en faisant un OU EXCLUSIF 
avec une valeur aleatoire u sur les donnees de sortie 
des premiers moyens TC 0 et en faisant un OU EXCLUSIF 
avec une valeur derivee e (p (u) ) sur les donnees 
d' entree des premiers moyens TC 0 . Puis on applique une 
sequence SEQA d' execution identique sur chaque groupe, 
qui consiste a utiliser ces autres moyens calcules. 
35 Dans ce procede, on utilise done une valeur 

aleatoire u qui est une donnee de 32 bits. On peut par 
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exemple tirer une valeur aleatoire de 32 bits, ou bien 
tirer une valeur aleatoire de 4 bits et les recopier 8 
fois pour obtenir la valeur aleatoire sur 32 bits. 

On calcule alors la variable derivee egale a 
e(p(u)), ou p(u) correspond au resultat de 1' operation 
P PERM appliquee sur la valeur u et ou e (p (u) ) est le 
resultat de 1' operation EXP PERM appliouee a la valeur 
P(u). 

On peut alors calculer les autres moyens utilises 
par ce procede de contre-mesure . 

Dans 1' exemple represents en reference a la figure 
7, ces autres moyens comprennent des deuxiemes moyens 
TC 2 et une operation ou EXCLUSIF supplement aire notee 



CP. 



Les deuxiemes moyens TC 2 sont utilises dans chacun 
des tours . 

lis sont calcules en appliquant un OU EXCLUSIF avec 
la variable aleatoire derivee e (p (u) ) sur la donnee 
d' entree E et en appliquant ^un OU EXCLUSIF avec la 
20 valeur aleatoire u sur la donnee de sortie S des 
premiers moyens TC 0 , ce qui peut s ' ecrire : 
TC 2 =(E©e(p(u)) , S©u) . 

L" operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee e(p(u)), permet d- obtenir en 
entree des deuxiemes moyens TC 2 la donnee b©e (p (u) ) . 
Cette operation est notee CP(e(p(u))) sur les figures 7 
et 8 . 

Cette operation OU EXCLUSIF supplementaire CP avec 
la variable e (p (u) ) peut etre placee en divers endroits 
des premiers et demiers tours, soit entre 1' operation 
EXP PERM et 1' operation XOR ou entre 1* operation XOR et 
1' operation SBOX. On peut la remplacer par une 
operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee p (u) , en placant cette 
operation supplementaire CP(p(u)) avant l« operation EXP 
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PERM, on obtient en sortie l©e (p (u) ) , et done on aura 
ensuite b©e (p (u) ) . 

Dans tous ces cas de figures, on obtient la donnee 
b©e(p(u)) en entree de 1' operation SBOX. 

Le programme de calcul consiste alors au debut de 
1' execution de 1 ' algorithme, a tirer une valeur 
aleatoire u, dans 1'exemple sur 4 bits, a calculer la 
variable aleatoire derivee e (p (u) ) , puis a calculer les 
diff brents moyens utilises dans la sequence d' execution 
SEQA, e'est a dire calculer les deuxiemes moyens TC 2 . 

On obtient, a la sortie de chaque groupe, le 
resultat juste pour les parametres de sortie. Ainsi, 
les paramdtres de sortie L4 et R4 du premier groupe Gl, 
L8 et R8 du deuxieme groupe G2, L12 et R12 du troisieme 
groupe G3 , LIS et R16 du quatrieme groupe G4 sont 
justes quelle que soit la variable aleatoire tiree. 

Quand on a effectue tous les tours, on obtient les 
parametres justes LIS et R16 qui vont permettre de 
calculer le message chiffre C j\iste. 
20 Par centre, a l'interieur des groupes,. certains 

resultats intermediates n'ont pas les memes valeurs 
selon la sequence utilisee, mais des valeurs 
correspondant a 1' operation OU EXCLUSIF avec la valeur 
aleatoire u ou avec la valeur aleatoire derivee 
25 e(p(u)), ce qui permet d'obtenir la protection contre 
les attaques DPA. 

La figure 8 montre 1 ' organi gramme detaille des 
quatre tours Tl, T2, T3 et T4 du premier groupe Gl, 
dans la sequence SEQA, qui permet de raettre en evidence 
30 le role des deuxiemes moyens TC 2 utilises dans chaque 
tour. D'apres leur definition : TC 2 = E©e (p (u) ) , S©u, 
en appliquant en entree la donnee modifiee 
aleatoirement b®e (p (u) grace a 1- operation 

suppl^mentaire CP, on obtient en sortie la donnee 
35 modifiee aleatoirement a©u. En conduisant ce 
raisonnement depuis le tour Tl jusqu'a la fin du tour 



FEUILLE MODIFI E 



18 



FR 000000283 



T4, et en remarquant que p(u)©p(u)=0, on obtient en 
• sortie du tour T4, les donnees L4, R4 non modifiees. 

Avec un tel procede de contre-mesure, on doit 
prevoir en debut de DES le tirage de la valeur 
aleatoire u et le calcul des moyens utilises dans la 
sequence d' execution SEQA. Ces moyens calcules a chaque 
execution du DES, sont memorises, l e temps de 
1' execution, en memoire de travail, les premiers moyens 
TC 0 qui servent au calcul etant eux memorises en 
memoire programme. 

Ce procede de contre-mesure selon l'etat de la 
technique qui consiste done de maniere generale a 
appliquer une valeur aleatoire u au moins sur la sortie 
des moyens de calcul utilises dans chaque tour de 
l'algorithme, laisse certaines donnees en clair. Sur 
les figures 7 et 8 on voit que les donnees d' entree, 
L0, R0, et a leur suite les donnees h, 1 et b du 
premier tour sont utilisees en clair. 

De meme les donnees R3 , L4, R4, R7, L8, R8, Rll, 
L12, R12, R15, L16 et R16 sont utilisees en clair. 

D'un maniere generale, quelque soit le mode 
d' application du proced£ de contre-mesure de l'etat de 
la technique qui vient d'etre decrit, au moins les 
donnees d' entree L0 et R0 et de sortie L16 et R16 sont 
utilisees en clair dans l'algorithme. D'autres donnees 
intermediates peuvent l'etre, comme dans le cas 
precedemment decrit, qui dependent pl us 

particulierement du mode d' application considere du 
procede de contre-mesure de l'etat de la technique, 
dont les figures 7 et 8 ne montrent qu'un des exemples 
d' application. 

En pratique, des attaques peuvent done §tre encore 
realisees sur l'algorithme, basees sur ces donnees 
utilisees en clair. 

La presente invention propose done un 
perfectionnement au procede de contre-mesure precite, 
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qui permet de rendre impredictibles toutes les donnees 
.utilisees dans 1 • algorithme, soit par la premidre 
valeur aleatoire u, soit par une' deuxieme valeur 
aleatoire notee v, soit par une combinaison des deux. 
5 Un exemple de mise en oeuvre de ce procede est 

represents sur la figure 9 . 

Selon 1 ■ invention, une deuxieme valeur aleatoire 
notee v est utilisee, appliquee aux donnees d' entree L0 
et R0, au moyen d'une operation OU EXCLUSIF. 

10 Ainsi, les donnees d' entree reellement utilisees 

dans le calcul de 1 • algorithme , sont des donnees 
impredictibles egales a L0©v et R0©v. 

Cette deuxidme valeur aleatoire se propage dans 
chacun des tours de 1 • algorithme . En sortie du seizieme 

15 tour T16, on obtient done comme donnees de sortie, les 
donnees impredictibles egales a L16Sv et R16©v. 

Pour retrouver les donnees de sortie vraies L16 et 
R16 qui vont permettre d'obtenir le message chiffre C, 
on applique sur chacune de ces' donnees L160v et R16©v, 

20 une operation OU EXCLUSIF avec la deuxieme valeur 
aleatoire v. 

L» utilisation des deux valeurs aleatoires u et v en 
combinaison permet d'obtenir un procedS de contre- 
mesure perf ectionne, rendant inattaquable 1' algorithme 
25 DES qui le met en oeuvre. 

Sur la figure 9, on a detaille un exemple de mise 
en oeuvre pratique d'un procede de contre-mesure selon 
1 1 invention. 

Si on prend le premier tour Tl, on a en entree les 
30 donnees L0©v et R0©v auxquelles on applique 
successivement les operations EXP PERM,. XOR (avec la 
cle" Kl) . On se retrouve done en entree de 1" operation 
SBOX avec la donnee b@v. 

Les moyens de calcul TC M associes a cette operation 
SBOX consistent comme dans le procede de contre-mesure 
de l'etat de la technique en une table de constantes 
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deduite de la table de cbnstantes d'origine TC 0 de 
1 1 algorithme DES . 

En notant cette table de constantes d'origine TC 0 = 
(E, S) comme vu en relation avec la figure 6, on 
calcule les nouveaux moyens. de calcul TC M de la maniere 
suivante : 

TC M = (E©e (v) , S©u) . 

De cette maniere, on tient compte de la deuxieme 
valeur aleatoire v appliquee aux donnees en entree de 
chaque tour, et on beneficie toujours de la premiere 
valeur aleatoire, u selon le procede de 1 ■ etat de la 
technique, en sortie de 1 'operation SBOX. 

Ainsi, en sortie de 1' operation SBOX utilisant les 
moyens de calcul TC M , on obtient la donnee a©p (u) , sur 
laquelle on applique 1» operation P PERM, dormant la 
donnee c@p (u) . 

L 1 operation XOR suivante avec la donnee d' entree 
L0©v foumit en sortie la donnee g©p(u)©v. 

On rappelle que dans l'etat de la technique decrit 
20 (FIG. 8), on obtenait a ce stade la donnee g©p (u) 
utilisee en entree du deuxieme tour T2 . 

Avec le procede selon 1' invention, 1' autre entree 
du deuxieme tour est la donnee Ll©v = R0©v, comme 
indique sur la figure 9 . 
25 La deuxieme valeur aleatoire v se propage done dans 

tous les tours de 1 ■ algorithme . 

Si on ne fait pas disparaitre la valeur aleatoire u 
de la donnee de sortie du premier tour (Rl© (v) ©p (u) ) , 
il faut prevoir 1 1 utilisation d'autres moyens de calcul 
30 TC M 1 dans le deuxieme tour T2 , def inis par TC M 1 
E©e (v) ©e (p (u) ) , S©u. 

Cette mise en oeuvre de 1 ■ invention n'est pas tres 
interessante, car elle necessite le calcul de deux- 
nouvelles tables de constantes TC M et TCm 1 , la valeur 
aleatoire u etant appliquee dans la table TCm 1 , 
seulement sur la sortie, mais aussi sur 1' entree. 
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Aussi, selon 1' invent ion, et comme represent e sur 
la figure 9, pour faciliter 1 • utilisation des deux 
variables aleatoires u et v en reduisant les calculs 
necessaires a sa mise en oeuvre et pour reproduire les 
5 memes operations dans chaque tour, on prevoit une 
operation OU EXCLUSIF supplemental notee CP(p( u )) e n 
fin de chaque tour, de maniere a faire disparaitre la 
valeur p (u) en entree de chaque nouveau tour. Ainsi, en 
entree du deuxieme tour Tl, on obtient la donnee Ri©v = 
10 (g@p ( U ) ®v) Sp (u) , soit 
Rl©v = g©v. 

Chaque tour se succede alors en executant la meme 
suite d' operations de calcul, alors en sorte qu'en 
sortie du seizieme tour, on obtient comme donnees de 
sortie, L16 6v et R160V. En appliquant une operation de 
OU EXCLUSIF avec la deuxieme valeur aleatoire v sur 
chacune de ces deux donnees, on obtient les donnees LIS 
et R16 qui permettent 1 • elaboration du message chiffre 
C. 

20 En appliquant le procede de contre-mesure selon 

1' invention qui combine 1 'utilisation d'une premiere 
valeur aleatoire u dans des moyens de calculs prevus 
dans chaque tour et 1 • utilisation d'une deuxieme valeur 
aleatoire appliquee en entree, avant 1- execution du 
premier tour, on rend impredictibles toutes les donnees 
utilisees dans 1 • algorithme . Selon l'endroit ou l'on se 
trouve dans 1 ' algorithme, la protection par contre- 
mesure selon 1' invention est assuree soit par . la 
premiere valeur aleatoire u, soit par la deuxieme 
30 valeur aleatoire v, soit par une combinaison de ces 
deux valeurs . 

En pratique, et dans l'exemple d ' application 
represents sur la figure 9, avant d'executer 
1- algorithme DES proprement dit, il faut executer les 
35 operations suivantes : 

- tirage des valeurs aleatoires u et v 
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- calcul de p (u) pour 1' operation CP (p (u) ) 

- calcul de e (v) 

- calcul de TC M = E©e (v) , S©u . 

La valeur aleatoire v est une donnee comportant le meme 
nombre bits que les donnees LO et R0, soit 32 bits dans 
l'exemple. Dans ce procSde, on utilise done une valeur 
aleatoire v qui est une donnee de 32 bits. On peut par 
exemple tirer une valeur aleatoire de 32 bits, ou bien 
tirer une valeur aleatoire de 4 bits et les recopier 8 
fois pour obtenir la •, valeur aleatoire sur 32 bits 
(comme pour la valeur aleatoire u) . 

D-autres exemples d ' application peuvent itre 
envisages, dans lesquels on peut notamment prevoir que 
les tours ne sont pas identiques. Toutes ces variantes 
qui utilisent les deux valeurs aleatoires selon le 
principe general expose sont du domaine de 1' invention. 

Un composant electronique 1 mettant en oeuvre un 
precede de contre-mesure selon 1> invention dans un 
algorithme de cryptographie a cle secrete DES, comprend 
typiquement, comme represents sur la figure 10, un 
microprocesseur mP, une memoire programme 2 et une 
memoire de travail 3. Les differents moyens de calcul 
TC 0 et TC„ sont, en pratique, des tables de constantes 
memorisees respectivement en memoire programme 1 et en 
memoire de travail 3. Pour pouvoir gerer 1 ' utilisation, 
de ces moyens de calcul, des moyens 4 de generation 
d'une valeur aleatoire sont prevus qui, si on se. 
reporte aux organigrammes des figures 7 et 11, 
foumiront les valeurs aleatoires u et v a chaque 
execution du DES. Un tel composant peut tout 
particulierement etre utilise dans une carte a puce 5, 
pour ameliorer son inviolability. 
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REVINDICATIONS 

1. Procede de contre-mesure contre des attaques par 
analyse dif f erentielle dans un composant electronique 
mettant en oeuvre un algorithme cryptographique a cle 
secrete (K) , dont la mise en oeuvre comprend plusieurs 
tours de calculs successifs (T1,...T16) pour fournir a 
partir de premieres donnees d' entree (L0, RO) 
appliquees au premier tour (Tl) , des donnees finales 
(LIS, R16) en sortie du dernier tour (T16) permettant 
1' elaboration d'un message chiffre (C) , chaque tour de 
calcul utilisant des moyens de calcul (TC) pour fournir 
une donnee de sortie (S) a partir d'une donnee d' entree 
(E), lesdits moyens de calcul comprenant 1 ' application 
d'une premiere valeur aleatoire (u) a la donnee 
d' entree (E) et a la donnee de sortie (S) pour obtenir 
en sortie une donnee impredictible (S©u) , caracterise 
en ce que le procede comprend 1 ' utilisation de moyens 
d' application d'une deuxierae valeur aleatoire <v) aux- 
dites premieres donnees d' entree (LO, RO) , selon une 
operation ou EXCLUSIF. 

2. Procede de contre-mesure selon la revendication 
1, caracteris<S en ce qu'il comprend en outre 
1' utilisation de moyens d' application dela deuxidme 
valeur aleatoire (v) sur les donnees finales dournie 
par le dernier tour (T16) , selon une operation 



s 
ou 



25 EXCLUSIF. 



3. Procede de contre mesure selon l'une quelconque 
des revendications precedentes, caracterise. en ce qu'il 
comprend a la fin de chaque tour, 1' execution d'une 
operation supplementaire (CP(p(u))) pour faire 
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disparaitre ladite premidre valeur aleatoire (u) en 
sortie de chaque tour. 

4. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce qu'il 
comprend le tirage des premiere et deuxieme valeurs 
aleatoires (u, v) et le calcul des moyens de calcul 
(TC M ) utilises dans chaque tour pour chaque nouvelle 
execution de 1 » algorithme . 

5. Procede selon la revendication 4, caracterise en 
ce que les dits moyens de calculs (TC„) sont calcules a 
partir de premiers moyens de calculs (TC 0 ) definissant 
pour des donnees d« entree (E) , des donnees de sortie 
(S) correspondantes, en appliquant la deuxieme valeur 
aleatoire (v) aux dites donnees d' entree (E©e (v) ) et en 
appliquant la premiere valeur aleatoire (u) au moins 
aux dites donnees de sortie (s©u) des premiers moyens 
de calcul . 



6. Procede de contre-mesure selon la revendication 
5, caracterise en ce que les moyens de calculs (TC 0 , 
20 TC M ) sont des tables de constantes. 



7. Composant electronique de security mettant en 
oeuvre le procede de contre-mesure contre des attaques 
par analyse dif f erentielle comprenant un algorithme 
crypt ographique a cle secrete (K) , dont la mise en 
oeuvre comprend plusieurs tours de calculs successifs 
(T1,...T16) pour fournir a partir de premieres donnees 
d' entree (L0, R0) appliquees au premier tour (Tl) , des 
donnees finales (L16, R16) en sortie du dernier tour 
(T16) permett.ant 1 ' elaboration d'un message chiffre 
30 (C) , chaque tour de calcul utilisant des moyens de 
calcul (TC) pour fournir une donnee de sortie (S) a 
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partir d'une donnee d' entree (E) , lesdits moyens de 
calcul comprenant 1 ' application d'une premiere valeur 
aleatoire (u) a- la donnee d' entree (E) et a la donnee 
de sortie (s) pour obtenir en sortie une donnee 
5 impredictible (S©u) , caracterise en ce que des premiers 
moyens de calcul (TC 0 ) sont fixes en memoire programme 
(1) du dit composant, des moyens de calcul (TC M ) 
utilises dans chaque tour St ant calcules a chaque 
nouvelle execution de l'algorithme et memorises en 
10 memoire de travail (3) et en ce qu-il comprend des 
moyens (4) de generation de premieres et deuxiemes 
valeurs aleatoires (u, v) pour calculer les dits moyens 
de calcul (TC M ) 



15 



8. Carte a puce comprenant un composant 
electronique de securite selon la revendication 7. 
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d - predicting, for each of the random messages, 
the value taken by one of the target bits, the value of 
which depends only on the bits of the message (input or 
output) and the sub-key taken as a hypothesis, in order 
to obtain the Boolean selection function; 

e - sorting the curves according to this Boolean 
selection function (that is to say according to the 
value xx 0" or "1" predicted for this target bit for each 
curve under the sub-key hypothesis) ; 

f - calculating, in each bundle, the resultant 
mean current consumption curve; 

g - calculating the difference of these mean 
curves, in order to obtain the signal DPA(t) . 

If the hypothesis on the sub-key is correct, the 
Boolean selection function is correct and the curves in 
the first bundle actually correspond to the curves for 
which the message applied at the input or output gave a 
target bit at "0" in the card and the curves in the 
second bundle actually correspond to the curves for 
which the message applied at the input or output gave a 
target bit at "1" in the card. 

This is the situation of Figure 1: the signal 
DPA(t) is therefore not null at the instants tcO to tc6 
corresponding to execution of the critical instructions 
(those which manipulate the target bit) . 

It should be noted that the attacker has no need 
to know the critical instants accurately. It is 

sufficient for there to be at least one critical 
instant in the acquisition period. 
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If the sub-key hypothesis is not correct, the 
sort does not correspond to reality and there are then 
in each bundle as many curves corresponding in reality 
to a target bit at "0" as curves corresponding to a 
target bit at xx l". The signal DPA(t) is substantially 
null everywhere (the case depicted in Figure 2) . It is 
necessary to return to step c - and make a new 
hypothesis on the sub-key. 

If the hypothesis proves to be correct, the 
procedure can move to the evaluation of other sub-keys, 
until the key has been reconstructed as much as 
possible. For example, with a DES algorithm, use is 
made of a key of 64 bits, only 56 of which are useful. 
With a DPA attack, it is possible to reconstruct at 
least 48 bits of the 56 useful bits. 

The aim of the present invention is to implement, 
in an electronic component, a countermeasure method 
which brings about a null signal DPA(t), even where the 
sub-key hypothesis is correct. 

In this way, nothing allows the correct sub-key 
hypothesis case to be distinguished from the false sub- 
key hypothesis cases. By means of this countermeasure, 
the electronic component is guarded against DPA 
attacks . 

It is known through the French patent application 
FR 98 13605 filed on 29 October 1998 by the GEMPLUS 
company that it is not sufficient to arrange that the 
signal DPA(t) is null in relation to a given target 
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This is because, if the value taken by a number 
of target bits of the same data item manipulated by the 
critical instructions is considered, the curves will 
have to be sorted, no longer into two bundles, but into 
a number of bundles. It is no longer a binary 

selection function. It can be shown that, by next 
grouping together these bundles in one way or another, 
a signal DPA(t) can be obtained which is non-null in 
the case of a correct sub-key hypothesis, whereas it 
would have been null if a sort had been performed 
according to a binary selection function on a single 
target bit. 

Let, for example, two target bits of the same 
data item be taken. These two target bits can take the 
following 2 2 values: "00", "01", "10" and "11". 

By applying the selection function to the N=1000 
measured current consumption curves, four bundles of 
curves are obtained. If the sort is correct, a first 
bundle of around 250 curves corresponds to the value 
"00", a second bundle of around 250 curves corresponds 
to the value "01", a third bundle of around 250 curves 
corresponds to the value "10" and a fourth bundle of 
around 250 curves corresponds to the value "11". 

If the first and fourth bundles are grouped 
together in a first group and the second and third 
bundles are grouped together in a second group, two 
groups which are not equivalent are obtained. 

In the first group, the two bits have as many 
chances of having the value "00" as having the value 
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"11". The mean value at the critical instants of all 
the consumption curves in this group can be written: 

Ml(t C i) = [consumption ("00") + consumption ("11") ] /2 

In the second group, the two bits have as many 
chances of having the value "01" as having the value 
"10". The mean value at the critical instants of all 
the consumption curves in this group can be written: 

M2(t C i) = [consumption ("01") + consumption ("10") ] /2 

If the difference between these two means is 
calculated, a non-null signal DPA(t) is obtained. In 
other words, the two groups whose mean consumptions are 
being compared do not have an equivalent content. 

In the aforementioned French patent application, 
an attempt has been made to prevent any significant 
signal in the DPA attack sense being obtained. 
Whatever the number of target bits taken, whatever the 
combination of bundles made for comparing the mean 
consumptions, the signal DPA(t) will always be null. 
For this, it is necessary to obtain equivalent bundles, 
whatever the number of target bits considered. 

The aforementioned French patent application, as 
a solution to these various technical problems, 
proposes the use of a random value in an EXCLUSIVE OR 
operation with at least some output data from 
calculation means used in the algorithm. 
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With the use of such a random value, the data 
manipulated by the critical instructions become 
unpredictable while having a correct result at the 
output of the algorithm. 

In the invention, however, it was ascertained 
that attacks could still be carried out successfully at 
well-determined locations in the algorithm execution, 
notably at the input and output of the algorithm. 

The object of the present invention is a 
countermeasure method in which these attacks are also 
made impossible. According to the invention, a second 
random value is used, applied to the input parameters 
of the cryptographic algorithm, in an EXCLUSIVE OR 
operation. This second random value propagates through 
the whole algorithm, so that the data which were not 
protected by the first random value are protected by 
the second. 

Thus, according to the invention, depending on 
the location in the algorithm, the data are protected 
either by the first random value, or by the second, or 
by a combination of these two random values. 

As characterised, the invention therefore relates 
to a countermeasure method in an electronic component 
implementing a secret key cryptographic algorithm, the 
implementation of which comprises a number of 
successive calculation cycles in order to supply, from 
first input data applied to the first cycle, final data 
at the output of the last cycle allowing the production 
of an encrypted message, each calculation cycle using 
calculation means for supplying an output data item 
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from an input data item, said calculation means 
comprising the application of a first random value (u) 
in order to obtain at the output an unpredictable data 
item, characterised in that the method comprises the 
use of means of applying a second random value to said 
first input data, according to an EXCLUSIVE OR 
operation . 

Other characteristics and advantages of the 
invention are detailed in the following description 
given as a guide and being in no way limitative and 
with reference to the accompanying drawings, in which: 

- Figures 1 and 2, already described, depict the 
signal DPA(t) which can be obtained in accordance with 
a hypothesis on a sub-key of the secret key K, 
according to a DPA attack; 

- Figures 3 and 4 are detailed flow diagrams of 
the first and last cycles of the DES algorithm, 
according to the state of the art; 

- Figure 5 is a block diagram of the operation 
SBOX used in the DES algorithm as presented in Figures 
3 and 4 ; 

- Figure 6 shows an example elementary constants 
table with one input and one output used in the 
operation SBOX depicted in Figure 5; 

- Figures 7 and 8 depict respectively an 
execution flow diagram of the DES and a detailed flow 
diagram of the first cycles, corresponding to an 
example application of the countermeasure method 
according to the state of the art; 
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- Figure 9 depicts an execution flow diagram of 
the DES according to the invention; and 

- Figure 10 depicts a simplified block diagram of 
a smart card having an electronic component in which 
the countermeasure method according to the invention is 
implemented . 

For a good understanding of the invention, the 
normal DES secret key cryptographic algorithm, with no 
countermeasure method, will first be described. This 
DES algorithm has 16 calculation cycles, denoted Tl to 
T16, as depicted in Figures 3 and 4. 

The DES starts with an initial permutation IP on 
the input message M (Figure 3) . The input message M is 
a 64-bit word f. After permutation, a 64-bit word e is 
obtained, which is cut into two in order to form the 
input parameters L0 and R0 of the first cycle (Tl) . L0 
is a 32-bit word d containing the most significant 32 
bits of the word e. R0 is a 32-bit word h containing 
the least significant 32 bits of the word e. 

The secret key K, which is a 64-bit word q, 
itself undergoes a permutation and a compression in 
order to supply a 56-bit word r. 

The first cycle comprises an operation EXP PERM 
on the parameter R0, consisting of an expansion and a 
permutation, in order to supply at the output a 48-bit 
word 1 . 

This word 1 is combined with a parameter Kl, in 
an EXCLUSIVE OR type operation denoted XOR, in order to 
supply a 48-bit word b. The parameter Kl, which is a 
48-bit word m, is obtained from the word r by a shift 



m 
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of one position (the operation denoted SHIFT in Figures 
3 and 4) followed by a permutation and a compression 
(the operation denoted COMP PERM) . 

The word b is applied to an operation denoted 
SBOX, at the output of which a 32-bit word a is 
obtained. This particular operation will be explained 
in more detail in connection with Figures 5 and 6. 

The word a undergoes a permutation P PERM, giving 
at the output the 32-bit word c. 

This word c is combined with the input parameter 
LO of the first cycle Tl, in an EXCLUSIVE OR type 
logical operation, denoted XOR, which supplies at the 
output the 32-bit word g. 

The word h (= RO) of the first cycle supplies the 
input parameter LI of the next cycle (T2) and the word 
g of the first cycle supplies the input parameter Rl of 
the next cycle. The word p of the first cycle supplies 
the input r of the next cycle . 

The other cycles T2 to T16 progress in a similar 
manner, except as regards the shift operation SHIFT 
which is carried out over one or two positions 
depending on the cycles considered. 

Each cycle Ti thus receives at the input the 
parameters Li-1, Ri-1 and r and supplies at the output 
the parameters Li and Ri and r for the next cycle Ti+1. 

At the end of the DES algorithm (Figure 4), the 
encrypted message is calculated from the parameters L16 
and R16 supplied by the last cycle T16. 

This calculation of the encrypted message C in 
practice comprises the following operations: 
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- formation of a 64-bit word e' by reversing the 
position of the words L16 and R16, and then 
concatenating them; 

- application of the permutation IP" 1 , the inverse 
of that of the DES start, in order to obtain the 64-bit 
word f forming the encrypted message C. 

The operation SBOX is detailed in Figures 5 and 
6. It comprises a constants table TC 0 for supplying an 
output data item a as a function of an input data item 
b. 

In practice, this constants table TC 0 comes in the 
form of eight elementary constants tables TC 0 1 to TCo8, 
each receiving at the input only 6 bits of the word b, 
for supplying at the output only 4 bits of the word a. 

Thus, the elementary constants table TCqI depicted 
in Figure 6 receives, as input data, the bits bl to b6 
of the word b and supplies, as output data, the bits al 
to a4 of the word a. 

In practice these eight elementary constants 
tables TC 0 1 to TC 0 8 are stored in the program memory of 
the electronic component. 

In the operation SBOX of the first cycle Tl, a 
particular bit of the output data a of the constants 
table TCo depends on solely 6 bits of the data b applied 
at the input, that is to say on solely 6 bits of the 
secret key K and the input message (M) . 

In the operation SBOX of the last cycle T16, a 
particular bit of the output data a of the constants 
table TCo can be recalculated from solely 6 bits of the 
secret key K and the encrypted message (C) . 
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However, going back to the principle of the DPA 
attack, if one or more bits of the output data a are 
chosen as target bits, it is sufficient to make a 
hypothesis on 6 bits of the key K in order to predict 
the value of the target bit or bits for a given input 
message (M) or output message (C) . In other words, for 
the DES, it is sufficient to make a hypothesis on a 6- 
bit sub-key. 

In a DPA attack on such an algorithm for a given 
set of target bits issuing from a given elementary 
constants table, a correct sub-key hypothesis has 
therefore to be distinguished from among 64 possible 
ones . 

Thus, from the output bits of the eight 
elementary constants tables TC 0 1 to TC 0 8, up to 8 x 6 = 
48 bits of the secret key can be discovered, by 
carrying out DPA attacks on corresponding target bits. 

In the DES, critical instructions in the DPA 
attack sense are therefore found at the start of the 
algorithm and at the end. These instructions are 
detailed in the French patent application FR 98 13605 
to which reference can usefully be made. 

And it emerges that all the data manipulated by 
critical instructions are an output data item or data 
derived from an output data item of a DES start and end 
SBOX operation. 

The countermeasure method described in the 
aforementioned French patent application applied to 
this DES algorithm consists in making each of the data 
items manipulated by the critical instructions 
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unpredictable. Thus, whatever the target bit or bits 
used, the signal DPA(t) will always be null. This 
countermeasure method is applied to the DES start 
critical instructions and to the DES end critical 
instructions . 

By taking the SBOX operations as first 
calculation means for supplying an output data item S=a 
from an input data item E=b, the countermeasure method 
of the aforementioned French patent application applied 
to the DES algorithm consists in using other 
calculation means instead of the first, in order to 
make the output data item unpredictable, so that this 
output data item and/or derived data manipulated by the 
critical instructions are all unpredictable. 

These other means can comprise various means. 
They are calculated from the first means by applying an 
EXCLUSIVE OR with a random value u (or a derived random 
value) to one and/or the other of the input and output 
data of the first means. 

The use of this random value u is such that the 
result at the output of the algorithm, that is to say, 
the encrypted message C, remains correct. 

Figures 7 and 8 depict an example application of 
this countermeasure method, which corresponds to Figure 
10 of the aforementioned French patent application. 

In a conventional execution of the DES algorithm, 
it has been seen that each cycle comprises the use of 
first means TC 0 in an operation SBOX. 

In this example, and as depicted in Figure 7, 
other means are calculated by performing an EXCLUSIVE 
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OR with a random value u on the output data of the 
first means TC 0 and by performing an EXCLUSIVE OR with a 
derived value e(p(u)) on the input data of the first 
means TC 0 . Then an identical execution sequence SEQA is 
applied to each group, which consists in using these 
other calculated means. 



In this method, use is therefore made of a random 



32-bit random value can be taken, or else a 4-bit 
random value can be taken and copied 8 times in order 
to obtain a 32-bit random value. 

The derived variable equal to e(p(u)) is then 
calculated, where p(u) corresponds to the result of the 
operation P PERM applied to the value u and where 
e(p(u)) is the result of the operation EXP PERM applied 
to the value p(u). 

The other means used by this countermeasure 
method can then be calculated. 

In the example depicted with reference to Figure 
l f these other means comprise second means TC 2 and an 
additional EXCLUSIVE OR operation denoted CP. 

The second means TC2 are used in each of the 
cycles . 

They are calculated by applying an EXCLUSIVE OR 
with the derived random variable e(p(u)) to the input 
data E and applying an EXCLUSIVE OR with the random 
value u to the output data S of the first means TC 0 , 
which can be written: 



value u which is a 32-bit data item. 



For example, a 



TC 2 = (E0e (p(u) ) , S0u) . 
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The additional EXCLUSIVE OR operation CP with the 
derived random variable e(p(u)) makes it possible to 
obtain, at the input of the second means TC 2 , the data 
b©e(p(u)). This operation is denoted CP(e(p(u))) in 
Figures 7 and 8 . 

This additional EXCLUSIVE OR operation CP with 
the variable e(p(u)) can be placed in various locations 
in the first and last cycles, either between the 
operation EXP PERM and the operation XOR or between the 
operation XOR and the operation SBOX . It can be 
replaced by an additional EXCLUSIVE OR operation CP 
with the derived random variable p(u), by placing this 
additional operation CP(p(u)) before the operation EXP 
PERM. l©e(p(u)) is obtained at the output, and this 
will therefore then give b©e(p(u)). 

In all these cases, the data b©e(p(u)) is 
obtained at the input of the operation SBOX. 

The calculation program then consists, at the 
start of execution of the algorithm, in taking a random 
value u, in the example a 4-bit value, of calculating 
the derived random variable e(p(u)), and then of 
calculating the various means used in the execution 
sequence SEQA, that is to say calculating the second 
means TC2 . 



At the output of each group, the correct result 



output parameters L4 and R4 of the first group Gl, L8 
and R8 of the second group G2, L12 and R12 of the third 



for the output parameters is obtained. 



Thus, the 
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group G3, and L16 and R16 of the fourth group G4 are 
correct whatever the random variable taken. 

When all the cycles have been performed, the 
correct parameters L16 and R16 are obtained which will 
make it possible to calculate the correct encrypted 
message C. 

On the other hand, within the groups, certain 
intermediate results do not have the same values 
according to the sequence used, but values 
corresponding to the EXCLUSIVE OR operation with the 
random value u or with the derived random value 
e(p(u)), which makes it possible to obtain protection 
against DPA attacks. 

Figure 8 shows the detailed flow diagram of the 
four cycles Tl, T2, T3 and T4 of the first group Gl, in 
the sequence SEQA, which makes it possible to reveal 
the role of the second means TC2 used in each cycle . 
According to their definition: TC 2 = E©e(p(u)), S©u; by 
applying at the input the randomly modified data 
b©e(p(u)) by means of the additional operation CP, the 
randomly modified data a®u is obtained at the output. 
Taking this reasoning from the cycle Tl to the end of 
the cycle T4, and noting that p(u)©p(u)=0, the 
unmodified data L4, R4 are obtained at the output of 
the cycle T4 . 

With such a countermeasure method, taking of the 
random value u and calculation of the means used in the 
execution sequence SEQA must be provided at the DES 
start. These means, calculated at each execution of 



the DES , are stored, at execution time, in working 
memory, the first means TC 0 which are used for the 
calculation being themselves stored in program memory. 

This countermeasure method according to the state 
of the art, which therefore consists in general terms 
in applying a random value u at least to the output of 
the calculation means used in each cycle of the 
algorithm, leaves certain data in clear. In Figures 7 
and 8 it can be seen that the input data, LO, RO, and 
following them the data h, 1 and b of the first cycle, 
are used in clear. 

Similarly, the data R3, L4, R4 , R7 , L8, R8 , Rll, 
L12, R12, R15, L16 and R16 are used in clear. 

In general terms, whatever the mode of 
application of the countermeasure method of the state 
of the art which has just been described, at least the 
input data LO and RO and output data L16 and R16 are 
used in clear in the algorithm. Other intermediate 
data may be so, as in the case described previously, 
which depend more particularly on the considered mode 
of application of the countermeasure method of the 
state of the art, of which Figures 7 and 8 show only 
one of the example applications. 

In practice, attacks can therefore still be 
carried out on the algorithm, based on these data used 
in clear. 

The present invention therefore proposes an 
improvement to the aforementioned countermeasure 
method, which makes it possible to make all the data 
used in the algorithm unpredictable, by means of either 
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the first random value u, or a second random value 
denoted v, or a combination of the two. 

An example implementation of this method is 
depicted in Figure 9. 

According to the invention, a second random value 
denoted v is used, applied to the input data LO and RO, 
by means of an EXCLUSIVE OR operation. 

Thus, the input data actually used in the 
calculation of the algorithm are unpredictable data 
equal to LO©v and RO©v. 

This second random value propagates through each 
of the cycles of the algorithm. At the output of the 
sixteenth cycle T16, the unpredictable data equal to 
L16©v and R16©v are therefore obtained as output data. 

In order to rediscover the true output data L16 
and R16 which will make it possible to obtain the 
encrypted message C, an EXCLUSIVE OR operation with the 
second random value v is applied to each of these data 
items L16©v and R16©v. 

The use of the two random values u and v in 
combination makes it possible to obtain an improved 
countermeasure method, making the DES algorithm which 
implements it impervious to attack. 

Figure 9 shows the detail of a practical example 
implementation of a countermeasure method according to 
the invention. 

If the first cycle Tl is taken, there are at the 
input the data items L0©v and R0©v to which the 
operations EXP PERM and XOR (with the key Kl ) are 
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applied successively. The data at the input of the 
next operation SBOX is therefore the data b©v. 

The calculation means TC M associated with this 
operation SBOX consist, as in the countermeasure method 
of the state of the art, of a constants table deduced 
from the original constants table TC 0 of the DES 
algorithm . 

Denoting this original constants table TC 0 = (E, 
S) as seen in connection with Figure 6, the new 
calculation means TC M are calculated as follows: 

TC M = (E©e (v) , S©u) . 

In this way, the second random value v applied to 
the data at the input of each cycle is taken into 
account, and benefit is still obtained from the first 
random value, u, according to the method of the state 
of the art, at the output of the operation SBOX. 

Thus, at the output of the operation SBOX using 
the calculation means TC M/ the data a©p(u) is obtained, 
to which the operation P PERM is applied, giving the 
data c©p (u) . 

The following XOR operation with the input data 
LO©v supplies at the output the data g©p(u)©v. 

It should be noted that, in the state of the art 
described (Fig. 8), at this stage the data g©p(u) used 
at the input of the second cycle T2 was obtained. 

With the method according to the invention, the 
other input of the second cycle is the data Ll©v = 
RO©v, as shown in Figure 9. 
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The second random value v therefore propagates 
through all the cycles of the algorithm. 

If the random value u is not eliminated from the 
output data of the first cycle (Rl© ( v) ©p (u) ) , it is 
necessary to make provision for the use of other 
calculation means TC M ' in the second cycle T2, defined 
by TC M ' = E©e (v)©e (p(u) ) , S©u. 

This implementation of the invention is not of 
great interest, since it necessitates the calculation 
of two new constants tables TC M and TC M f , the random 
value u being applied in the table TC M ' / not only to the 
output, but also to the input. 

Also, according to the invention, and as depicted 
in Figure 9, in order to facilitate the use of the two 
random variables u and v by reducing the calculations 
necessary for its implementation and in order to repeat 
the same operations in each cycle, an additional 
EXCLUSIVE OR operation denoted CP(p(u)) is provided at 
the end of each cycle, so as to eliminate the value 
p(u) at the input of each new cycle. Thus, at the 
input of the second cycle Tl, the data Rl©v = 
(g©p (u) ©v) ©p (u) is obtained, that is 

Rl©v = g©v. 

Each cycle then follows the previous one, 
executing the same sequence of calculation operations, 
so that, at the output of the sixteenth cycle, L16©v 
and R16ffiv are obtained as output data. By applying an 
EXCLUSIVE OR operation with the second random value v 
to each of these two data items, the data L16 and R16 
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are obtained which allow the encrypted message C to be 
produced. 

By applying the countermeasure method according 
to the invention which combines the use of a first 
random value u in calculation means provided in each 
cycle and the use of a second random value applied at 
the input, before the execution of the first cycle, all 
the data used in the algorithm are made unpredictable. 
Depending on the location in the algorithm, the 
countermeasure protection according to the invention is 
provided either by the first random value u, or by the 
second random value v, or by a combination of these two 
values . 

In practice, and in the example application 
depicted in Figure 9, before executing the DES 
algorithm proper, it is necessary to execute the 
following operations : 

- taking of the random values u and v 

- calculation of p(u) for the operation CP(p(u)) 

- calculation of e (v) 

- calculation of TC M = E©e(v), S©u. 

The random value v is a data item having the same 
number of bits as the data items LO and RO, that is 32 
bits in the example. In this method, use is therefore 
made of a random value v which is a 32-bit data item. 
For example, a 32-bit random value can be taken, or 
else a 4-bit random value can be taken and copied 8 
times in order to obtain a 32-bit random value (as for 
the random value u) . 




26 



Other example applications can be envisaged, in 
which notably it can be provided that the cycles are 
not identical. All these variants which use the two 
random values according to the general principle 
explained are within the scope of the invention. 

An electronic component 1 implementing a 
countermeasure method according to the invention in a 
DES secret key cryptographic algorithm comprises 
typically, as depicted in Figure 10, a microprocessor 
mP, a program memory 2 and a working memory 3. The 
various calculation means TC 0 and TC M are, in practice, 
constants tables stored respectively in program memory 
1 and in working memory 3. In order to be able to 
manage the use of these calculation means, means 4 of 
generating a random value are provided which, if 
reference is made to the flow diagrams of Figures 7 and 
11, will supply the random values u and v at each 
execution of the DES. Such a component can most 
particularly be used in a smart card 5, in order to 
improve its inviolability. 
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CLAIMS 

1. A countermeasure method in an electronic 
component implementing a secret key (K) cryptographic 
algorithm, the implementation of which comprises a 
number of successive calculation cycles (Tl, . . . T16) 
in order to supply, from first input data (LO, RO) 
applied to the first cycle (Tl), final data (L16, R16) 
at the output of the last cycle (T16) allowing the 
production of an encrypted message (C) , each 
calculation cycle using calculation means (TC) for 
supplying an output data item (S) from an input data 
item (E) , said calculation means comprising the 
application of a first random value (u) in order to 
obtain at the output an unpredictable data item (S®u), 
characterised in that the method comprises the use of 
means of applying a second random value (v) to said 
first input data (LO, RO), according to an EXCLUSIVE OR 
operation . 

2. A countermeasure method according to Claim 1, 
characterised in that it also comprises the use of 
means of applying the second random value (v) to the 
final data supplied by the last cycle (T16) , according 
to an EXCLUSIVE OR operation. 

3. A countermeasure method according to either 
one of the previous claims, characterised in that it 
comprises, at the end of each cycle, the execution of 
an additional operation (CP(p(u))) in order to 
eliminate said first random value (u) at the output of 
each cycle. 
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4 . A countermeasure method according to any one 
of the previous claims, characterised in that it 
comprises the taking of first and second random values 
(u, v) and calculation of the calculation means (TC M ) 
used in each cycle for each new execution of the 
algorithm . 

5. A method according to Claim 4, characterised 
in that said calculation means (TC M ) are calculated from 
first calculation means (TC 0 ) defining, for input data 
(E), corresponding output data (S) , by applying the 
second random value (v) to said input data (E©e(v)) and 
applying the first random value (u) at least to said 
output data (S®u) of the first calculation means. 

6. A countermeasure method according to Claim 5, 
characterised in that the calculation means (TCo, TC M ) 
are constants tables. 

7 . An electronic security component implementing 
the countermeasure method according to either one of 
Claims 5 or 6, characterised in that the first 
calculation means (TCo) are fixed in program memory (1) 
of said component, the calculation means (TC M ) used in 
each cycle being calculated at each new execution of 
the algorithm and stored in working memory (3) , and in 
that it comprises means (4) of generating first and 
second random values (u, v) for calculating said 
calculation means (TC M ) . 

8. A smart card comprising an electronic 
security component according to Claim 7. 



